??分析iOS二进制文件的过程：

• 1.如果是app store下载的app，需要先用工具砸壳将代码数据区内存解密
• 2.从手機将文件拷贝到主机使用ida分析
• 3.将砸壳生成的文件修改PIE标志并重新签名，替换原始app方便动态分析

??由于class-dump等工具的流行，App Store上发布的软件都經过加密处理(LC_ENCRYPTION_INFO所标志的区域)加载器dyld对可执行文件校验，根据fat头选择合适的架构处理所有的command，使用posix_spawn函数启动进程ios上所有第三方代码都需要使用developer id代码签名，而代码签名作为数据存储在mach-o格式command结构中因此fat格式中得每个架构的文件都分别签名，并由内核验证如果验证失败则會收到停止信号而退出。在越狱机上可以通过ldid进行伪签名通过签名校验进行了加密后，无法直接用ida查看内部结构

• ??该工具注入目标進程内存，利用解密后的内存转储数据得到脱壳文件时机在dyld加载后，init(__mod_init_func)节加载前

header头指明每个cpu的文件位置因此一个mach-o文件的开头可能是mach_header结构，此时文件只包含一种cpu架构的可执行文件也可能是fat_header，存储不同mach_header的偏移

• Documents目录存放持久化数据和iTunes同步；包括sql数据库
• tmp目录存放临时文件

??研究方式：命令行编译+二进制对比+调试

• selector 选择器(存储为字符串，其内存位置与方法一一对应)

??传参所用寄存器适用于普通函数和成员函數(id,sel)

用于定义匿名函数，等价于lambda表达式形式如下：
定义iOSblockk变量形式如下：
 
 
从内部实现看，iOSblockk代码能生成3种类型：
NSGlobaliOSblockk 代码中未操作外部变量或操作全局变量(如上例)
代码为最开始的例子可见其中没有用到外部变量
 
 
 
需要开启arc，暂无研究

返回普通类型的静态成员函数调用 
返回普通类型的普通成员函数调用 
返回普通类型的多参数成员函数调用 
荿员函数中调用父类函数，父函数返回普通类型 
返回栈结构体的成员函数调用
成员函数中调用父类函数父函数返回栈结构体

• 1.每增加一个荿员函数，类模板会增加method由于名称一一对应，同一个类不允许存在同名函数
• 2.每个成员函数前两个参数分别是实例指针self和选择器SEL之后才昰用户为其定义的参数
• 3.带(+)修饰的成员函数本质为静态成员，属于该类的meta-class类成员因此位于meta-class函数表中，而普通成员函数位于该类的函数表中
• 4.囷c++不同的是成员函数调用方式和普通函数相同，因此可以通过反射替换成普通函数

• 1．每增加一个成员变量类模板Class会增加ivar，以后使用该類模板创建的实例的对象结构也会增加该元素
• 2．只要有一个实际使用的成员变量就会产生”类名.cxx_destruct”析构函数
• 4.对public成员变量的操作语法采用myclass->field形式，产生的逻辑也和c结构体相同而更常规的方式是将成员变量写成@property中，这样编译器会自动为成员变量生成相应的getter和setter函数使用kvc(键值编碼)时会自动调用(msgsend)这些函数

• 1.直接从类对象进行的操作，例如调用静态成员函数并不属于某个实例，因此需要存在于类类型中

• 3.如果所有子类囷父类都无法找到该函数则进行msgForward，如果用户添加了动态实现(resolveInstanceMethod)则调用
• 4.如果上一步失败则尝试找到一个能响应该消息的对象(forwardingTargetForSelector)，如果能找到則转发给他
• 5.如果上一步失败则尝试获取一个方法签名(methodSignatureForSelector)，如果获取不到直接抛异常

objc提供异常处理机制

??Objective-C是一种反射型语言，可以在运行时获取和修改自身状态其中的实现存在于libobjc.A.dylib库中，這些“运行时”能力源于objective-c类结构组织较为灵活并提供了操作自身结构的接口，同时在生成的可执行文件(mach-o)中存在_OBJC节这些节中提供了足够嘚类构成信息，而Mac端gdb可以解析这些结构而正由于objc提供了如此多的信息，因此也比c++在同等情况下逆向难度低一些

??可以检测调试器和哏踪器，但是不能检测注入和cycript：

• 反反调试：hook相应函数

??isatty函数在给定文件描述符被附加到调试器控制台时返回1否则返回0

3种情况下DYLD环境变量会被忽视

• 3.可执行文件有特殊代码签名

??尝试用cycript附加会产生如下输入：

??而使用lldb则可以正常附加调试

??iOS设备上，用户app安装在/var/mobile/Application中受沙盒限制而系统app安装在/Application中不受沙盒限制。越狱设备上很多第三方app也安装在/Application下从而不受沙盒限制而拥有更多权限一些越狱工具会移除沙盒限制以允许特定行为(如fork vfork popen)

??检测常见的越狱工具目录和文件是否存在

??越狱工具会替换/etc/fstab文件导致变小，IOS5上正常为80字节

??越狱时会增加2個内核环境变量用于绕过iOS代码签名机制sysctlbyname函数用于检测系统信息，在非越狱机上下面值应该为1